[비즈한국] 잊을 만하면 기업의 개인정보 유출 사고가 터지지만 소비자가 보상을 제대로 받는 경우는 거의 없다. 기업을 법정에 세워도 책임을 피하는 경우가 많고, 소비자가 직접 피해를 입증해야 하기 때문이다. 설령 손해배상이 진행돼도 충분한 수준일지는 미지수다.
#피해 입증은 소비자 몫, 현실적으로 불가능에 가까워
1월 초 LG유플러스에서 가입자 18만 명의 개인정보가 유출된 데 이어, 지난 19일 온라인 쇼핑몰 지마켓에서 일부 소비자의 계정이 도용돼 구매 후 사용하지 않은 상품권 번호가 유출되는 사건이 발생했다. 앞서 13일에는 억대 연봉자 전용 채용 플랫폼 ‘리멤버 블랙’에서도 문의 메일을 보낸 365명의 이메일 주소가 유출됐다. 리멤버 블랙의 경우 소득을 인증하는 데다 운영사 드라마앤컴퍼니가 명함 관리 앱 ‘리멤버’까지 가지고 있어 회사의 보안 수준을 향한 불신이 제기됐다. 사고 원인이 담당자의 실수라는 점도 빈축을 샀다.
개인정보 유출 사고가 이어지자 피해 보상을 향한 관심도 커졌다. LG유플러스와 드라마앤컴퍼니 모두 사고 발생 후 입장문을 냈지만, 보상에 관해서는 이렇다 할 의견을 밝히지 않았다. 이용자 사이에선 “개인정보가 유출됐는데 실수라고 사과만 하면 끝인가” “이대로 유야무야 넘어가나”라며 불만이 나온다. 특히 LG유플러스의 경우 피해자 수가 18만 명이 넘는 데다 집단 소송의 가능성도 제기돼 실제 소비자 보상이 이뤄질지 주목된다.
다만 현재로선 기업이 책임감을 가지고 스스로 보상에 나서지 않는 한 소비자가 보상 받기는 쉽지 않다. 역대 사고에서도 제대로 보상이 이뤄진 경우를 찾기 힘들다. 대표적인 사례가 KT의 해킹 사건이다. 2012년 서버 해킹으로 873만 명의 개인정보가 유출됐고, 2013~2014년에는 고객센터 홈페이지 해킹으로 무려 1200만 명의 개인정보가 새어나갔다. 유출된 정보 일부는 텔레마케팅 등에 이용됐다. KT에는 첫 번째 사건으로 과징금 7억 5300만 원, 두 번째엔 과징금 7000만 원에 과태료 1500만 원이 부과됐다.
피해 규모가 상당한데도 KT는 법정 공방에서 연승을 거뒀다. 12일 공시에 따르면 2012년 7월부터 KT에 17건의 손해배상청구 소송이 제기됐지만 이 중 16건에서 KT가 승소했다. 소송에는 약 3만 명이 참여해 청구액만 153억 원대에 달한다. 시민단체 경제정의실천시민연합(경실련)에서도 2014년 유출 사건을 두고 세 차례 집단 소송을 제기했지만 2021년 결국 패소했다.
관련 법이나 고시 등에 명시된 기준만 따르면 책임을 묻지 않는 국내법의 한계 때문이다. 법원은 KT가 방송통신위원회 고시상의 기술적·관리적 보호조치 기준을 따랐기 때문에 과실이 없다고 판단했고, 그 덕에 KT는 손해배상 소송에서 책임을 피했다.
IT 전문 변호사는 “미국법은 기업의 손해배상 책임을 폭넓게 인정한다. 기업의 책임을 규정에 명문화하지 않고, 어느 정도 수준에 미달하면 손해배상을 하라는 판결이 나온다”라며 “반면 국내법은 필수 조치를 규정에 명시해서 오히려 한계가 있다. 다만 지켜야 할 것이 적지는 않다”라고 말했다.
경실련 관계자는 “법적 기준이나 약관이 기업에 유리하고, 법원에서는 보수적으로 해석한다”라며 “비슷한 사건이 발생했을 때 이 판결이 선례가 될 수있다. 이를 뒤집을 다른 판계가 나오지 않는 한 앞으로 제기되는 소송에서도 이를 인용할 것”라고 지적했다.
개인정보 유출로 실질적인 피해를 보더라도 입증은 소비자의 몫이다. 실제로 2022년 ‘유심 복제’ 수법으로 KT 일부 가입자가 가상자산을 탈취 당한 사건이 있었지만 피해 입증부터 어려움을 겪었다. 유심 복제 범죄는 해킹범이 개인정보를 이용해 피해자의 복제 유심을 만들어 다른 기기에 끼운 뒤 금융정보나 가상자산 등을 빼돌리는 수법이다. 한 피해자는 KT에 기지국 정보를 알려달라고 요청했으나 거절당했고, 2억 원이 넘는 가상자산을 잃은 피해자 2명은 기지국 위치와 GPS 정보를 얻기 위해 소송까지 제기한 것으로 알려졌다.
경실련 관계자는 “추가 피해가 있다면 그에 대한 보상을 받겠지만, 피해자가 직접 내 정보가 어디로 흘러가서 어떻게 피싱을 당했고, 마케팅에 이용돼 얼마나 광고를 받았는지 등을 제시하는 식이라 개인이 입증하기 쉽지 않다”라며 “이 때문에 개인정보 유출 사고 규모가 커도 민사까지 나서는 소비자는 적은 게 현실”이라고 말했다.
#민사 승소해도 보상은 의미없는 수준
설령 소비자가 민사소송에서 승소하거나, 기업이 도의적인 차원에서 보상에 나선다고 해도 합리적인 수준일지는 의문이다. 보안업계 관계자는 “KT 사건이 있었던 10년 전에 비해 정보보호 규제가 엄격해졌다. LG유플러스 사건 정도면 정부가 행정처분을 내릴 것으로 보인다. 이 경우 민사소송에서 승소할 가능성이 커진다”라고 말했다.
그러나 소비자가 유출 사실만으로 소송할 경우 위자료는 인당 5만~10만 원대로 소액에 그친다. 참여연대는 2018년 발행한 ‘개인정보 수난사 리포트’에서 “법원은 개인정보 유출로 인한 정보 주체의 권리 침해를 소극적으로 판단한다”라며 “개인정보 유출로 인한 피해를 1인당 5만~20만 원 내외로만 인정해왔고, 손해의 의미를 협소하게 바라본다”라고 지적했다.
기업이 자체 보상하는 경우에도 별다른 기대를 하긴 어렵다. 최근 카카오는 2022년 10월 15일 발생한 데이터센터 화재 사고와 관련해 ‘마음 선물팩’이라는 이름의 자체 보상안을 냈는데, 이모티콘 3종·쇼핑 쿠폰·유료 상품 한 달 이용권 등을 제시해 되레 ‘무늬만 보상’이라고 비판받았다.
전문가들은 기업이 자발적으로 보안 수준을 높여야 한다고 지적한다. 염흥열 순천향대 정보보호학과 교수는 “과거에 비하면 보안을 향한 기업의 관심이 커졌지만 현재 사업 규모에 맞는 수준으로 투자와 개발을 하는지를 점검해야 한다”라며 “IT 예산 중 10% 이상은 정보보호 분야에 투자해야 한다. 특히 통신사는 방대한 양의 개인정보를 다루는 업체이므로 더욱 신경 써야 하는데, 투자 비율이 10% 미만에 그친다. 정보보호 전담 인력도 더 늘릴 필요가 있다”라고 짚었다.
염 교수는 “개인정보 유출은 소비자뿐만 아니라 기업의 신뢰와 직결되기에 비즈니스에도 치명적이다. 과징금이나 손해배상 등 금전적인 손실도 무시할 수 없다”라며 “기업이 정보보호 관리체계를 스스로 구축하고 ISMS-P(정보보호 및 개인정보보호 관리체계 인증) 등 인증서를 받는 게 중요하다”라고 조언했다.
심지영 기자
jyshim@bizhankook.com[핫클릭]
·
부동산 PF대출 부실 불똥 무분별 사업 확장한 증권·캐피탈·저축은행 강타
·
[지금 이 공시] 롯데케미칼, 파키스탄 자회사 매각 '묘수'로 그룹 핵심계열사 안착
·
"도덕적 해이 빠졌나" 작년 10대 건설사 건산법 위반 행정처분 154% 증가
·
3년간 보안사고 이어진 LG유플러스, 과징금은 '고작' 4000만 원
·
휴대전화 할부수수료 명시 1년, '깨알' 문구 효과 있을까